sem navegação 'net

**irado** · 14-11-2008, 09:25

estabeleci aqui um fwll/gw em iptables. Tudo muito bom - e aí é que o bicho pega - só que o pessoal NÃO NAVEGA na Internet

PARTE das minhas regras - as que (IMHO) importam - estão aqui:

$IPT -t filter -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPT -t filter -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPT -A FORWARD -j ACCEPT
$IPT -t nat -A POSTROUTING -o $NIC_EXTERNA -j MASQUERADE

o que dá pra se entender, via relatório (abaixo) é que a solicitação VAI pra 'net, mas a eventual resposta não aparece:

Nov 14 08:40:00 srv4 kernel: ** FORWARD **IN=eth1 OUT=eth0 SRC=128.1.14.9 DST=200.169.88.1 LEN=63 TOS=0x00 PREC=0x00 TTL=127 ID=1398 PROTO=UDP SPT=1032 DPT=53 LEN=43
Nov 14 08:40:01 srv4 kernel: ** FORWARD **IN=eth1 OUT=eth0 SRC=128.1.14.17 DST=216.52.184.243 LEN=775 TOS=0x00 PREC=0x00 TTL=127 ID=2226 PROTO=ICMP TYPE=8 CODE=0 ID=768 SEQ=19459
[.. prossegue..]

bem..

eu estou aqui, travado. Alguma sugestão?

notar (de novo): a conexão matriz-filial, via OpenVPN funciona muito bem mas - veja pela regra - NÃO É masquerade'd aqui, pq o OpenVPN cuida disso.

grato,

**irado** · 17-11-2008, 08:22

foi resolvido - catei um script na Internet, adequei pras minhas condições e pronto, funcionou.

**Frusciante** · 17-11-2008, 17:15

Então, por gentileza, poderia postar o novo script de firewall que funciona aí com você, só para os interessados poderem comparar?

abracos

**irado** · 17-11-2008, 17:49

Postado originalmente por Frusciante

Então, por gentileza, poderia postar o novo script de firewall que funciona aí com você, só para os interessados poderem comparar?

abracos

pode ve-lo aqui: Bash pastebin - collaborative debugging tool

IMPORTANTE:
a) algumas variaveis foram removidas na definição, mas são usadas no texto. Coloque as suas, no lugar

b) é muito importante verficar os log's para os "reject"; se houver algum que NÃO DEVA ser rejeitado, vai para o BLOCK ou SAIDA, pra ser autorizado.

divirtam-se.

**Frusciante** · 17-11-2008, 23:25

Você não entendeu.
Quando pedi para postar o novo script de firewall, não era para postar do site que você encontrou, e sim o script que está rodando com você.

**irado** · 18-11-2008, 08:14

Postado originalmente por Frusciante

Você não entendeu.
Quando pedi para postar o novo script de firewall, não era para postar do site que você encontrou, e sim o script que está rodando com você.

é o próprio. Aquele site é onde a gente faz um "paste-up" pra não ocupar espaço aqui. Ou seja, eu pego o MEU script e abro um tópico naquele site e despacho o tal script.

sem navegação 'net

Ferramentas de Tópicos

sem navegação 'net